Re: squid crittografare i files di log.
2010/4/13 Mauro : > Il problema e' la privacy. > Uso squid come proxy per dare accesso ad internet a computer presenti > su in alcuni internet point. > Devo pertanto tenere i logs (devo ancora capire per quanto tempo) dove > vengono riportati tutti gli accessi. > Per questioni pratiche la passwd di root del server e' conosciuta da > alcune persone, tutti amministratori. > Quello che vorrei fare e' un sistema tale per cui i files di log di > squid non possano essere visti da tutti gli amministratori eccetto che > uno solo. Conoscendo il problema, la soluzione potrebbe riconfigurarsi in qualcosa di più tecnicamente abbordabile e standard. Se configuri squid per sfruttare syslog (non l'ho mai fatto, ma penso si possa), potresti usare una macchina separata (anche virtualizzata) che faccia da server syslog remoto (vedi rsyslog, supporta anche mysql come backend), a cui accede solo l'amministratore designato. Gli amministratori del server squid non vedono un piffero di log (a meno che non si mettano a sniffare il traffico di rete :P). Ciao. -- Giovanni "scorp" Toraldo -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/y2p2e2245b31004130531mf001793eq9be75004841a1...@mail.gmail.com
Re: squid crittografare i files di log.
On Apr 13, Mauro wrote: > Il problema e' la privacy. [...] > Quello che vorrei fare e' un sistema tale per cui i files di log di > squid non possano essere visti da tutti gli amministratori eccetto che > uno solo. Premesso che non mi son mai posto il problema di approfondire la faccenda, non credo proprio che la questione privacy/legge sulla data retention vada vista in questi termini. Mi informerei per bene in rete (gli archivi delle liste di http://www.sikurezza.org/ , per iniziare) e magari anche da un legale. Poi si tratta di configurare squid ed il resto del sistema perché mantenga le informazioni richieste (non di più, non di meno). Se invece il tuo problema è che proprio non ti fidi delle altre persone che hanno accesso root, secondo me la questione proprio non si pone: togli l'accesso root a queste persone. Punto. Tutto il resto, è meno di un palliativo. HTH, -- Davide Alberani [GPG KeyID: 0x465BFD47] http://www.mimante.net/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100413113959.ga31...@gmail.com
Re: squid crittografare i files di log.
2010/4/12 Giovanni Toraldo : > 2010/4/12 Davide Alberani : >> On Apr 12, Mauro wrote: >> >>> Sarebbe possibile fare in modo che i files di log prodotti da squid >>> non vengano registrati in chiaro? >> >> Scriverli su una partizione crittografata? >> >> Altrimenti, forse puoi far qualcosa senza eccessivo sbattito redirigendo >> i log ad una named pipe, e da questa a gpg/openssl/whatever. > > Potresti agire in fase di log rotation. > > Se poi definisci meglio qual'è il problema che vuoi risolvere invece > del come attuare una possibile soluzione, magari a qualcuno viene > qualche idea migliore ;) Il problema e' la privacy. Uso squid come proxy per dare accesso ad internet a computer presenti su in alcuni internet point. Devo pertanto tenere i logs (devo ancora capire per quanto tempo) dove vengono riportati tutti gli accessi. Per questioni pratiche la passwd di root del server e' conosciuta da alcune persone, tutti amministratori. Quello che vorrei fare e' un sistema tale per cui i files di log di squid non possano essere visti da tutti gli amministratori eccetto che uno solo. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/q2iab520d141004130353m207c78e1tf1b8fcc907adf...@mail.gmail.com
Re: squid crittografare i files di log.
On Apr 12, Mauro wrote: > Qui non registra su syslog ma su suoi logs sotto /var/log/squid Non ho uno squid sotto mano, ma darei per scontato che tu possa dirgli di usare un syslog. Ad ogni modo, la sostituzione del file di log con una named pipe (quelle che credi con mknod, per intenderci) è sempre possibile. Poi che abbia un senso è tutta un'altra questione: rischia di essere fragile (se il processo che legge muore, di sicuro perdi dei log) e bisogna fare attenzione ad eventuali rotatori (di modo che ignorino la FIFO). Inoltre è un po' troppo "custom" per i miei gusti, ma magari son io che invecchiando divento pavido. :-) Ciao, -- Davide Alberani [GPG KeyID: 0x465BFD47] http://www.mimante.net/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100412184739.gb25...@gmail.com
Re: squid crittografare i files di log.
Perdonatemi... penso che bisogna capire... Si vogliono crittografare i LOG, OK, ma... 1) Si vogliono SEMPRE CIFRATI (temporalmente parlando).. nel senso che non sono MAI leggibili (anche da root)... in questo caso la partizione cifrata non è applicabile 2) Si vogliono cifrati (fisicamente) ma si ammette che siano leggibili a server acceso (?) .. in questo caso la partizione cifrata è applicabile. 3) Si vogliono SEMPRE CIFRATI ma si ammette che non lo siano in una finestra temporale definita (ok, si possono archiviare cifrati con cancellazione sicura ogni TOT minuti) 4) Si vogliono SEMPRE CIFRATI e NON si ammette una finestra temportale (anche stretta) di visibilità... quindi vanno cifrati appena "generati", in tempo reale. .. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100412183250.m60...@corep.it
Re: squid crittografare i files di log.
2010/4/12 Davide Alberani : > On Apr 12, Mauro wrote: > >> Sarebbe possibile fare in modo che i files di log prodotti da squid >> non vengano registrati in chiaro? > > Scriverli su una partizione crittografata? > > Altrimenti, forse puoi far qualcosa senza eccessivo sbattito redirigendo > i log ad una named pipe, e da questa a gpg/openssl/whatever. Potresti agire in fase di log rotation. Se poi definisci meglio qual'è il problema che vuoi risolvere invece del come attuare una possibile soluzione, magari a qualcuno viene qualche idea migliore ;) Ciao. -- Giovanni "scorp" Toraldo -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/y2m2e2245b31004121048rf970a78en1f4bcfdde002a...@mail.gmail.com
Re: squid crittografare i files di log.
2010/4/12 Davide Alberani : > On Apr 12, Mauro wrote: > >> Sarebbe possibile fare in modo che i files di log prodotti da squid >> non vengano registrati in chiaro? > > Scriverli su una partizione crittografata? > > Altrimenti, forse puoi far qualcosa senza eccessivo sbattito redirigendo > i log ad una named pipe, e da questa a gpg/openssl/whatever. > > Nota bene: non conosco il meccanismo di logging di squid, ma se puoi > passarlo ad un syslog, si dovrebbe fare. Qui non registra su syslog ma su suoi logs sotto /var/log/squid -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/r2jab520d141004120959h8e1b1f2uc94fc05c32f8e...@mail.gmail.com
Re: squid crittografare i files di log.
On Apr 12, Mauro wrote: > Sarebbe possibile fare in modo che i files di log prodotti da squid > non vengano registrati in chiaro? Scriverli su una partizione crittografata? Altrimenti, forse puoi far qualcosa senza eccessivo sbattito redirigendo i log ad una named pipe, e da questa a gpg/openssl/whatever. Nota bene: non conosco il meccanismo di logging di squid, ma se puoi passarlo ad un syslog, si dovrebbe fare. -- Davide Alberani [GPG KeyID: 0x465BFD47] http://www.mimante.net/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100412121751.gb7...@gmail.com